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Aanleiding 

Op basis van artikel 8 van het Besluit Verstrekking Gegevens Telecommunicatie is 
opdracht gegeven tot het uitvoeren van audits ten aanzien van de CIOT-organisatie en 
de nationale politie. 

De Auditdienst Rijk, cluster Veiligheid en Justitie 1 (ADR, VenJ) is gevraagd een audit uit 
te voeren bij het CIOT. De Korpsleiding van de nationale politie heeft de interne 
auditdienst opdracht gegeven een audit uit te voeren naar de bevraging van het CIOT 
door de politie. Daarnaast heeft de KMar onderzoek gedaan om vast te stellen of nog 
steeds aan de gestelde wet- en regelgeving wordt voldaan. 

Er is voor gekozen de onderwerpen waarover de Minister verslag doet deze keer te 
beperken tot de CIOT-organisatie, de bevraging door de politie en de bevraging door de 
KMar. Ten aanzien van de bijzondere opsporingsdiensten is in het verleden vastgesteld 
dat ze voldoen en voor de aanlevering door de aanbieders is een laag risico gezien. Deze 
zijn daarom deze keer buiten de scope van de audit gehouden. 


Toelichting 

Het CIOT is een onderdeel van het Ministerie van Veiligheid en Justitie en is aangewezen 
om de informatieverzoeken van de behoeftestellers, zijnde de (bijzondere) 
opsporingsdiensten en inlichtingendiensten door te geleiden naarde aanbieders van 
telecommunicatiediensten. Het CIOT kan worden beschouwd als een 
"berichtenmakelaar". Daartoe beheert het CIOT het geautomatiseerd CIOT- 
informatiesysteem, waarin het vraag- en antwoordverkeer van de door de 
behoeftestellers expliciet gevraagde gegevens wordt doorgeleid. 

Het CIOT schept randvoorwaarden zodat de gegevens van gebruikers van 
telecommunicatie met de juiste zorgvuldigheid worden behandeld en daarmee wordt 
voldaan aan wettelijke voorschriften, zoals bijvoorbeeld de WBP. 

Conform het Besluit Verstrekking Gegevens Telecommunicatie moeten alle aanbieders 
van telecommunicatiediensten tenminste iedere 24 uur hun gegevens bij het CIOT 
actualiseren. De door de aanbieders geleverde gegevens moeten overeenstemmen met 
de gegevens die de aanbieder bij zijn bedrijfsvoering gebruikt. De gegevenslevering door 
de aanbieder dient elke keer de volledige set van alle gebruikers van 
telecommunicatiediensten te bevatten. Iedere 24 uur wordt het bestand bij het CIOT 
overschreven, het CIOT beheert dus geen historische gegevens. 

Het opvragen van gegevens bij de aanbieders van telecommunicatiediensten door middel 
van het CIOT-informatiesysteem is gebonden aan wettelijke voorschriften. Het Wetboek 
van Strafrecht en Wetboek van Strafvordering geven aan onder welke voorwaarden de 
informatie door de behoeftestellers kan worden opgevraagd. De behoeftestellers moeten 
het bevragingsproces zodanig inrichten dat gewaarborgd is dat de bevragingen voldoen 
aan het wettelijk kader en tevens moet dat achteraf vastgesteld kunnen worden. 


1 Departementale Auditdienst van het ministerie van Veiligheid en Justitie is opgegaan in de Auditdienst Rijk. 



Belangrijkste bevindingen 


CIOT organisatie 

Aan de hand van een normenkader heeft de Auditdienst getoetst in hoeverre het CIOT 
aan de 160 normen voldoet. Daarbij is de conclusie getrokken dat op slechts drie punten 
een aanbeveling wordt gedaan. 

De eerste aanbeveling ziet op het wijzigingsproces. Het structureel evalueren van 
wijzigingen en incidenten, alsmede de vastlegging van deze activiteit moet nadrukkelijk 
onderdeel zijn van het wijzigingsproces. Deze 

activiteiten raken de kwaliteit van de dienstverlening door CIOT en beperken de 
risico's van ongewenste effecten in het wijzigingsproces. De behandeling en 
besluitvorming van met name de releases moet expliciet aantoonbaar zijn. 

Het CIOT heeft inmiddels concrete stappen ondernomen om deze aanbeveling te 
adresseren. Er worden twee nieuwe processen ingericht waardoor de monitoring van de 
dienstverlening door het CIOT nog beter gewaarborgd is. Daarnaast is een overlegorgaan 
ingericht waarin releases en prioriteiten worden besproken. 

De tweede aanbevelingen ziet op de controlelijsten. Op deze controlelijsten moet 
expliciet worden gemaakt of de autorisaties van eigen medewerkers die de dienst hebben 
verlaten is ingetrokken. Op de controlelijsten waren de ingetrokken autorisaties reeds 
opgenomen. Met ingang van november 2014 is aan dit overzicht tevens het veld "datum 
wanneer actie is afgerond" toegevoegd om expliciet aan te geven dat de actie ook 
daadwerkelijk is uitgevoerd. 

De derde en laatste aanbeveling betreft de huisvesting van het CIOT op de Turfmarkt, er 
wordt aanbevolen om na te gaan of aanvullende maatregelen noodzakelijk zijn zodat de 
continuïteit van de dienstverlening buiten twijfel staat. Inmiddels heeft de ADR 
geoordeeld dat de maatregelen die zijn getroffen voldoende zijn om de continuïteit in de 
dienstverlening te kunnen waarborgen. 

In het kader van de transparantie over de mate waarin opsporing gebruik maakt van het 
CIOT systeem is geverifieerd of de gepubliceerde verantwoording van de jaarcijfers 2012 
inzake de bevragingen overeenkomt met de rapportagefunctie "Jaarverslag" uit het ICT- 
systeem. Geconcludeerd is dat de gepubliceerde verantwoording van de jaarcijfers inzake 
de bevragingen volledig overeenkomt met de jaarcijfers die het ICT-systeem genereert. 


Nationale Politie 

De Auditdienst van de politie heeft eind 2013 een audit uitgevoerd naar de kwaliteit van 
het bevragingsproces door de eenheden van de politie, alsmede naar de rechtmatigheid 
van de CIOT-bevragingen. 

De auditdienst stelt vast dat de politie verdere stappen heeft gemaakt in het eenduidig 
en transparanter verwerken van CIOT bevragingen. Er is een landelijke procedure 
opgesteld. Deze procedure geeft in belangrijke mate invulling aan de belangrijkste 



stappen voor het op transparante en eenduidige wijze verwerken van CIOT-bevragingen. 
Deze procedure is naar alle eenheden gecommuniceerd en wordt bij vrijwel alle 
eenheden op hoofdlijnen gevolgd. Ook wordt het uitvoeren van de bevragingen 
gecentraliseerd bij de gemeenschappelijke BOB Kamer (GBK) binnen de eenheden. 
Verdere implementatie van de landelijke procedure valt samen met de realisatie van 
deze GBK's. Door het hanteren van de landelijke werkwijze, is het voor de politie veel 
beter dan voorheen mogelijk de rechtmatigheid van de bevragingen vast te stellen . Wel 
zijn verbeteracties gewenst zodat de rechtmatigheid nog verder wordt geborgd. 

Uit de tijdens dit onderzoek uitgevoerde controles blijkt dat in enkele eenheden nog 
administratieve onjuistheden en onvolledigheden zijn geconstateerd. Deze zijn 
voornamelijk te wijten aan het ontbreken of niet kunnen vaststellen van de aanwezigheid 
van getekende versies van Processen Verbaal, onduidelijkheden rondom de 
wetsgrondslag en de registratie van identificerende kenmerken op basis waarvan een 
duidelijke relatie tussen bevraging en (strafdossier vastgesteld kan worden. Dit betekent 
overigens niet dat deze bevragingen per definitie onrechtmatig zijn, alleen dat de 
rechtmatigheid niet aangetoond kon worden. 

De auditdienst van de politie concludeert dat verbeteracties binnen de eenheden gewenst 
zijn om de kwaliteit van de uitvoering van het bevragingsproces verder te borgen. De 
belangrijkste maatregelen die in dit kader nodig zijn, zijn het uitvoeren van de periodieke 
controle zoals deze in de landelijke procedure is opgenomen, het borgen van de 
vastlegging van alle relevante criteria voor een rechtmatige bevraging en het verbeteren 
van de controle op de toegekende autorisaties. 

Naar aanleiding van de audit zijn begin 2014 al diverse aanbevelingen in gang gezet. Zo 
zijn de bevindingen uit de audit direct in de opleiding van de CIOT-gebruikers 
meegenomen. 

Naar aanleiding van de audit hebben bovendien alle eenheidschefs in opdracht van de 
korpschef een verbeterplan ingediend. In deze verbeterplannen zijn onder meer 
maatregelen opgenomen ten aanzien van de interne controle en administratie en de 
uniforme uitvoering van bevragingen vanuit de GBK, die in sommige eenheden op dat 
moment in verband met de reorganisatie nog niet volledig was gerealiseerd. 


Koninklijke Marechaussee 

In 2013 is bij de KMar onderzoek gedaan om vast te stellen of nog steeds aan de 
gestelde wet- en regelgeving wordt voldaan. Hiervoor is het referentiekader gebruikt dat 
is opgebouwd uit de normen in de wet-en regelgeving. In het normenkader, dat bestaat 
uit 25 normen, zijn 10 zogenaamde 'must have' normen opgenomen waar in ieder geval 
aan moet worden voldaan. 

Uit het onderzoek is gebleken dat de KMar in opzet, bestaan en werking aan het 
overgrote deel van de normen voldoet. In ieder geval wordt aan alle 'must have' normen 
voldaan. 

Om de werking van het proces te onderzoeken zijn deelwaarnemingen uitgevoerd over 
de periode van 1 maart tot 1 september 2013 waarin door de geautoriseerde 
medewerkers van de info desk 649 bevragingen zijn uitgevoerd in het CIOT Informatie 



Systeem (CIS). Hieruit zijn 19 willekeurige posten geselecteerd die alle aan de normen 
voldoen. 


Aanbieders 

Ten aanzien van de aanbieders is samen met de ADR besloten de audit op een andere 
wijze vorm te geven. Er is gestart met een ontwikkeltraject van een indicator voor no 
hits. Met deze indicator wordt inzicht verkregen in de kwaliteit van de geleverde 
bestanden. Veel no hits kan betekenen dat de, door de aanbieders, geleverde bestanden 
niet compleet of niet actueel zijn. In de volgende rapportage zal de Kamer worden 
geïnformeerd over de verkregen inzichten op basis van deze indicator. 


Publicatie jaarcijfers 

Het CIOT publiceert, conform de wettelijke verplichting, jaarlijks cijfers over het aantal 
afgehandelde informatie verzoeken. Dit gebeurt door publicatie van een rapport via de 
website van VenJ. Bij deze informeer ik uw Kamer dat de cijfers vanaf 2015 in het 
jaarverslag van VenJ zullen worden opgenomen. 



